服务质量保证认证fédérée Citrix
简介
Le service FAS(联邦认证服务)est un composant Citrix qui s 'intègre à votre autorité de certification Active Directory,渗透公用设施être authentifiés de manière transparente dans un environment Citrix。提供关于建筑和le的信息déploiement FAS,报道à la节文档服务认证fédérée.
Vous pouvez déployer FAS pour permettre aux utiisateurs d 'ouvrir une session unique à un VDA (ou à une application publiée) sans avoir besoin d 'un mot de passe ou d 'une carte à puce。La fonctionnalité de preuve d ' verture de sessions fournit de preuve d ' verture de sessions transà FAS par Citrix Gateway et StoreFront。世界保险协会保险公司été émises最保险'identité (IdP)信。
Cet文章décrit评论配置器la fonctionnalité de preuve d 'ouverture de session FAS。
Generalites
Confiance FAS
L 'infrastructure FAS含蓄«chaîne de conf未婚夫»centre Citrix Gateway (NSG), StoreFront (SF)等FAS;Chaque flèche pointe du composantd质量鉴定更composantapprouve:
主要利用单位名称(UPN)利用单位名称(UPN) accède au système。L 'UPN圈à travers les liens (dans la direction opposée aux flèches)。L 'UPN peut également être transformé en un UPN différent à测量qu 'il循环dans système, mais cela n 'est pas direction pertinent pour ce sujet。
Le fournisseur d 'identité (IdP) est l 'endroit où les utilisateurs s ' authenticate。最重要的网站Web层告诉我们Azure。Les utilisateurs s ' authentient auprès de l 'IdP en fournissant unensemble d 'identification(典型的例子是unmot de pass ou quelque chose de plus complex)。Les composants加腰dans la chaîne acceptent que l 'UPN soit authentique en raison de la chaîne de conf未婚夫entre Les composants。
La conf未婚夫est établie de La manière suivante, marquée 1,2,3 dans le diagramme ci-dessus:
(1) Citrix Gateway ou StoreFront现状确认à l 'IdP à协议中隐含的重新授权signées(举例来说,重新授权标识l 'UPN de l ' utiisateur)。党的认可vérifier les revendicfaites par 'IdP car elle est configurée avec le certificate at qu 'elle utilise pour vérifier La validité de La签名。存在两种协议utilisés pour la vérification: SAML(安全断言标记语言)和OpenID连接。La fonctionnalité会议执行前的准备工作。
(2) Cette认可est établie en configurant StoreFront avec les détails de Citrix Gateway approuvé。Le protocole entres composants,«CitrixAgBasic»,permet à StoreFront de confirmer qu 'il est appelé par une passerelle Citrix Gateway。
Cette fiducie est établie en utilisant Kerberos。FAS est configuré avec une list de servers StoreFront approuvés。Kerberos est utilisé pour vérifier que l 'identité du server StoreFront上诉表。
安全炸药
L ' authentication sécurisée repose sur une chaîne de con未婚夫correctement établie。La chaîne de conf未婚夫est renforcée验证des preuves par l 'IdP, qui est base de conf未婚夫pour l ' authentication sécurisée。最重要的是,汽车信息识别工具提供à FAS通过chaîne de confifence包括工具名(l 'UPN),主要包括秘密(comme un mot de pass) que FAS peut lui-même valider。L 'exposition du mot de est donc limitée à L 'IdP。La plupart des systèmes d ' authentication fédérés fontionnent de cette façon, y compris FAS。
会议前序曲
La fonctionnalité de preuve d 'ouverture de session FAS fournit une assurance de sécurité supplémentaire dans un déploiement FAS。请提交définir des règles autoisou拒绝'accès au FAS。
La preuve d 'ouverture de session (ou simple«preuve»)est un élément de données créé par l 'IdP lorsque l ' utiisateur s ' authenticate。Ces données circulent, avec l 'UPN, dans tout le système。视距的变化,视距的变化,视距的变化,视距的变化,视距的变化。
执行吧,我要起诉你我要起诉你。La preuve est La réponse SAML, qui est undocument XML内容unensemble de réclamations signées par l 'IdP。(L 'IdP est la racine de la confifinpour L '认证)。
插件FAS
FAS n 'a aucune capacité intégrée pour vérifier que lepreuves d ' verture de sont ' valdes。Au lieu de cela, vous devez écrire votre propre插件FAS à l 'aide du SDK FAS断言。Votre插件负责vérifier l 'UPN fourni et les preuves (réponse SAML)。
配置收集preuves ouverture de session
Étape 1 - Créez votre déploiement
Créez un déploiement à l 'aide de Citrix Gateway, StoreFront等FAS已经成为习惯。配置Citrix网关ou StoreFront utiliser l ' authentication SAML à votre IdP。
重要的是:
Si vous utilisez Citrix Gateway, lorsque vous configurez StoreFront avec les détails de votre Citrix Gateway, vousdevez配置一个URL de绕绳下降,汽车通过绳降传送:
Citrix vous推荐配置程序类型d 'ouverture de session entant que«carte à puce»,ce qui aide les clients natifs à effectuer l ' certification SAML。
Vérifiez que votre déploiement功能纠正。最后,vérifiez que vous pouvez vous连接和lancer des sessions VDA sans être invité à fournir des信息d 'identification sur VDA。
Étape 2 -安装程序的例子的断言FAS插件
Le SDK FAS断言包括非示例的插件,您的pouvez utiliser comme base pour votre propre插件。
标记:
Citrix vous推荐与安装程序相同的安装程序,例如插件,没有apporter de修改。
提供安装说明,安装插件,咨询官员固定fourni avec le kit SDK d '断言FAS。
Étape 3 - Vérifiez que le插件d '断言FAS fonctionne
Une fois le插件installé, des événements supplémentaires sont écrits dans la节日志/应用程序窗口du journal des événements de votre server FAS。为获取新闻报道和新闻报道的描述,咨询développement logiciel (SDK)断言FAS。
Étape 4 - Activer la collection de preuves sur Citrix Gateway
您可以使用Citrix网关进行认证,您可以使用Citrix网关à StoreFront fonctionnalité进行收集和发布。Citrix ADC Pour activer l 'option«Stocker la réponse SAML»Pour votre server de Gateway, reportez-vous à la section认证SAML.
Étape 5 - Activer la collection de preuves sur店面
标记:
我们正在进行会议前的准备工作,你devezdéployer un module de plug-in FAS断言服务器FAS。
Par défaut, StoreFront n 'envoie pas de preuves au FAS (même si l ' authentication SAML est configurée)。为客户提供服务认证associé à un magasin nommé: Store。
Citrix.StoreFront Get-Module”。*–ListAvailable | Import-Module $StoreName = "Store" $StoreVirtualPath = "/Citrix/" + $StoreName $store = Get-STFStoreService –VirtualPath $StoreVirtualPath $auth = Get-STFAuthenticationService –StoreService $store $auth.AuthenticationOptions.CollectFasEvidence = $true $auth.Save() Étape 6 -修饰符FAS断言的例子
Le code squelette dans ' example de plug-in accepte preuve。Mettez à jour le code dans l ' example pour vérifier que la preuve d 'ouverture de session fournie (réponse SAML)有效。
财产登记responsabilité保险公司财产登记vérifiées。Considerez:
vérifier que les revendicationsaml没有一个签名密码的有效性
vérifier que les revendictions SAML sont signées avec le certificat de l 'IdP
vérifier que l 'UPN dans les revendications SAML对应à l 'UPN présenté
Vérifier que les demandes ont été délivrées dans UN délai accept (ce qui est«accept»,c 'est à vous de déterminer)
SDK d 'authentification店面
Vous pouvez utiliser le SDK d ' authentication StoreFront pour effectuer une personalization avancée des données de preuves。提供更多的信息,咨询文件《自定义联邦登录服务样本1811.pdf》提供免费的SDKhttps://developer-docs.citrix.com/.